次の表は、IAM のドキュメントの主な更新をまとめたものです。
変更 | 説明 | 日付 |
---|---|---|
IAM が マネージドポリシーから | 2025 年 1 月 7 日 | |
IAM Access Analyzer において、AccessAnalyzerServiceRolePolicy | 2024 年 12 月 10 日 | |
IAM Access Analyzer は、AWS アカウント、IAM ユーザー、ロールが検出結果を生成する範囲を変更するようにアナライザーを設定するサポートを追加しました。 | 2024 年 11 月 14 日 | |
一元化されたルートアクセスを使用して、AWS Organizations のメンバーアカウント間で特権ルートユーザー認証情報を管理できるようになりました。AWS Organizations を使用して管理される AWS アカウント のルートユーザー認証情報を一元的に保護し、ルートユーザー認証情報の削除ならびにそのリカバリとアクセスの防止を大規模に実行します。 | 2024 年 11 月 14 日 | |
IAM は、組織内のメンバーアカウントのルートユーザーアクセスを一元化した後にユーザーが開始できる特権ルートユーザーセッションの許可の範囲を指定するために、2 つの新しいポリシーを追加しました。 | 2024 年 11 月 14 日 | |
Organizations リソースコントロールポリシー (RCP) を使用して、組織または組織単位 (OU) のアカウント内のリソースの最大の許可を定義します。RCP は、ID ベースのポリシーおよびリソースベースのポリシーが組織内のアカウントのリソースに付与できる許可を制限します。 | 2024 年 11 月 13 日 | |
IAM Access Analyzer で、IAM ユーザーおよびロールタグに関する情報を取得するための許可が、AccessAnalyzerServiceRolePolicy | 2024 年 10 月 29 日 | |
IAM Access Analyzer で、IAM ユーザーおよびロールポリシーに関する情報を取得するためのアクセス許可が、AccessAnalyzerServiceRolePolicy | 2024 年 5 月 30 日 | |
IAM SAML プロバイダーは、外部 IdP からの SAML レスポンスで暗号化されたアサーションをサポートするようになりました。IAM SAML フェデレーションでの暗号化の仕組みについては、「Using SAML-based federation for API access」を参照してください。 | 2024 年 2 月 4 日 | |
IAM Access Analyzer は、Amazon EC2 スナップショットのブロックパブリックアクセスに関する現況を取得するためのアクセス許可を、AccessAnalyzerServiceRolePolicy | 2024 年 1 月 23 日 | |
IAM Access Analyzer は、DynamoDB ストリームとテーブルを AccessAnalyzerServiceRolePolicy | 2024 年 1 月 11 日 | |
IAM Access Analyzer は、Amazon S3 ディレクトリバケットを AccessAnalyzerServiceRolePolicy | 2023 年 12 月 1 日 | |
IAM Access Analyzer で、ポリシーの更新によって追加のアクセス権限が付与されるかどうかをユーザーが確認できるようにするためのアクセス許可が IAMAccessAnalyzerReadOnlyAccess に追加されました。 このアクセス許可は、IAM Access Analyzer でポリシーチェックを実行するために必要です。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer では、使用されていないアクセス権限の検査を簡略化することで、最小特権の付与を実現します。IAM Access Analyzer は、継続的にアカウントを分析して使用されていないアクセス権限を特定し、その検出結果に基づいて一元化されたダッシュボードを作成します。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer では、IAM ポリシーがデプロイ前にセキュリティ標準に準拠していることを検証するためのカスタムポリシーチェックが提供されるようになりました。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer で、以下のアクションをサポートするための IAM アクションが AccessAnalyzerServiceRolePolicy
| 2023 年 11 月 26 日 | |
IAM は、アクション最終アクセス情報をサポートし、60 を超える追加サービスのアクションレベルの情報を含むポリシーと、アクション最終アクセス情報が利用可能なアクションのリストを生成するようになりました。 | 2023 年 11 月 1 日 | |
IAM は、140 を超えるサービスのアクション最終アクセス情報と、アクション最終アクセス情報が利用可能なアクションのリストを提供するようになりました。 | 2023 年 9 月 14 日 | |
1 つのユーザーに対し、最大 8 台 (FIDO セキュリティキー、仮想認証アプリケーションのソフトウェアによるタイムベースワンタイムパスワード (TOTP)、ハードウェア TOTP トークンなど) の MFA デバイスを追加できるようになりました。 | 2022 年 11 月 16 日 | |
IAM Access Analyzer は、以下のリソースタイプに対するサポートを追加しました。
| 2022 年 10 月 25 日 | |
MFA オプションとしての U2F についての記述を削除し、WebAuthn、FIDO2、および FIDO セキュリティキーに関する情報を追加しました。 | 2022 年 5 月 31 日 | |
イベントによって AWS リージョン 間の通信が中断されたときに IAM 認証情報へのアクセスを維持するための情報を追加しました。 | 2022 年 5 月 16 日 | |
リソースを含む AWS Organizations のアカウント、組織単位 (OU)、または組織に基づいて、リソースへのアクセスを制御できるようになりました。IAM ポリシーでは、 | 2022 年 4 月 27 日 | |
AWS Software Development Kit (SDK) で IAM を使用する方法を示すコード例を追加しました。例は、個々のサービス関数を呼び出す方法を示すコード抜粋と、同じサービス内で複数の関数を呼び出して特定のタスクを達成する方法を示す例に分けられています。 | 2022 年 4 月 7 日 | |
ポリシー評価ロジックフローチャートおよびアカウント内でのリクエストの許可または拒否の決定セクションの関連テキストの更新です。 | 2021 年 11 月 17 日 | |
ルートユーザーの認証情報を使用する代わりに管理者ユーザーを作成することについての情報を追加しました。また、IAM グループを使用して IAM ユーザーにアクセス許可を割り当てるベストプラクティスを削除しました。さらに、インラインポリシーの代わりに管理ポリシーを使用するタイミングを明確にしました。 | 2021 年 10 月 5 日 | |
リソースベースのポリシーの影響についての情報と、同じアカウントに存在する異なるプリンシパルタイプについての情報を追加しました。 | 2021 年 10 月 5 日 | |
単一値条件キーと複数値条件キーの違いについて、詳しく説明します。AWS グローバル条件コンテキストキーに、それぞれの値タイプが追加されました。 | 2021 年 9 月 30 日 | |
IAM Access Analyzer は、Amazon S3 マルチリージョンアクセスポイントを使用するバケットを含め、パブリックおよびクロスアカウントアクセスを許可する Amazon S3 バケットを識別します。 | 2021 年 9 月 2 日 | |
IAM Access Analyzer は、既存のAWS管理ポリシーを更新しました。 | 2021 年 9 月 2 日 | |
IAM Access Analyzer は、AWS の追加サービスのアクションレベルのアクセスアクティビティ情報を含む追加の IAM ポリシーを生成できます。 | 2021 年 8 月 24 日 | |
IAM Access Analyzer を使用して、別のアカウントでの AWS CloudTrail 証跡、例えば、集中型 AWS Organizations 証跡を使用したアクセスアクティビティに基づいてきめ細かなポリシーを生成できるようになりました。 | 2021 年 8 月 18 日 | |
IAM Access Analyzer は、IAM ポリシーに含まれる条件を検証する新しいポリシーチェックを追加することで、ポリシーの検証を拡張しました。これらのチェックは、ポリシーステートメント内の条件ブロックを分析し、セキュリティの警告、エラー、および提案を実行可能な推奨事項とともに報告します。 IAM アクセスアナライザでは、次のポリシーチェックが追加されました。 | 2021 年 6 月 29 日 | |
IAM プリンシパルが Amazon EC2、IAM、Lambda、および Amazon S3 管理アクションに対してアクションを前回使用した時点について、IAM コンソールでアクションの最後にアクセスした情報を表示できるようになりました。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう IAM ポリシーを改善することができます。 | 2021 年 4 月 19 日 | |
管理者は、ID が AWS CloudTrail にログインしているソース ID を渡すように要求するように IAM ロールを設定できます。ソース ID 情報を確認すると、管理者は、引き受けたロールセッションでアクションを実行したユーザーやアクションを判断できます。 | 2021 年 4 月 13 日 | |
IAM Access Analyzer を使用して、AWS CloudTrail で見つかったアクセスアクティビティに基づいてきめ細かいポリシーを生成できるようになりました。 | 2021 年 4 月 7 日 | |
IAM Access Analyzer は、ポリシー作成中に 100 を超えるポリシーチェックと、実用的な推奨事項を提供するようになりました。 | 2021 年 3 月 16 日 | |
拡張されたポリシー検証は、IAM コンソールで利用できます。AWS API、および AWS CLI IAM Access Analyzer のポリシーチェックを使用して、安全で機能的な JSON ポリシーを作成できるようにします。 | 2021 年 3 月 15 日 | |
タグキーおよび値のペアを使用して、追加の IAM リソースにタグを付けることができるようになりました。 | 2021 年 2 月 11 日 | |
AWS アカウント にカスタムパスワードポリシーを設定しない場合、IAM ユーザーのパスワードはデフォルトの AWS パスワードポリシーの要件を満たす必要があります。 | 2020 年 11 月 18 日 | |
それぞれの AWS のサービスでは、IAM ポリシーで使用できるように、アクション、リソース、および条件コンテキストキーを定義することができます。AWS サービスとそのアクション、リソース、および条件コンテキスト キーのリストは、サービス認可リファレンスで確認できるようになりました。 | 2020 年 11 月 16 日 | |
IAM ユーザーは、AWS Management Console でロールを切り替えるときにロールセッション時間を長くできるようになりました。これによりセッションの期限切れによる中断を減らすことができます。ユーザーには、ロールに設定された最大セッション期間、または IAM ユーザーのセッションの残り時間のいずれか短い方が付与されます。 | 2020 年 7 月 24 日 | |
Service Quotas コンソールを使用して、調整可能なクォータの IAM クォータ増加をリクエストできます。現在、いくつかの増加は Service Quotas で自動的に承認され、数分以内にアカウントで利用できるようになります。より大きなリクエストは AWS サポート に送信されます。 | 2020 年 6 月 25 日 | |
サービスの最終アクセス時間情報に加えて、 プリンシパルが最後に Amazon S3 アクションを使用した時間に関する情報を IAM コンソールに表示できるようになりました。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このレポートには、プリンシパルで許可されているどのサービスとアクションに、いつ最後にアクセスが試みられたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう IAM ポリシーを改善することができます。 | 2020 年 6 月 3 日 | |
セキュリティに関する章では、セキュリティとコンプライアンスの目標を達成するために IAM と AWS STS を設定する方法について説明します。また、IAM リソースのモニタリングや保護に役立つ、他の AWS のサービスの使用方法についても説明します。 | 2020 年 4 月 29 日 | |
ロールを引き受けるときにプリンシパルが指定するセッション名に基づいてアクセス許可を付与するポリシーを記述できるようになりました。 | 2020 年 4 月 21 日 | |
メインの AWS サインインページでサインインする場合、AWS アカウントのルートユーザー または IAM ユーザーとしてサインインすることを選択できません。この場合、ページのラベルに、ルートユーザーの E メールアドレスまたは IAM ユーザー情報を指定する必要があるかどうかが示されます。このドキュメントには、AWS サインインページを理解するのに役立つ、更新済みの画面キャプチャが含まれています。 | 2020 年 3 月 4 日 | |
サービスが IAM プリンシパル (ユーザーまたはロール) に代わってリクエストを実行できるかどうかを制限するポリシーを記述できるようになりました。プリンシパルが AWS サービスに対してリクエストを実行すると、そのサービスはプリンシパルの認証情報を使用して、後続のリクエストを他のサービスに対して実行することがあります。いずれかのサービスがプリンシパルの認証情報を使用してリクエストを実行したときに一致する、 | 2020 年 2 月 20 日 | |
IAM Policy Simulator を使用して、IAM エンティティに対するアクセス許可の境界の影響をテストできるようになりました。 | 2020 年 1 月 23 日 | |
AWS でクロスアカウントアクセスのポリシーが評価される方法を学習できるようになりました。これは、別のアカウントのプリンシパルがリソースにアクセスすることを信頼するアカウントのリソースに許可する、リソースベースのポリシーが含まれている場合に発生します。リクエストは両方のアカウントで許可されている必要があります。 | 2020 年 1 月 2 日 | |
AWS STS でロールを引き受けるとき、またはユーザーをフェデレートするときにタグを含めることができるようになりました。 | 2019 年 11 月 22 日 | |
IAM ポリシーで AWS Organizations からレファレンス組織単位 (OU) を参照できるようになりました。Organizations を使用してアカウントを OU に編成する場合、リソースへのアクセスを許可する前に、プリンシパルが特定の OU に属するように要求できます。プリンシパルには、AWS アカウントのルートユーザー、IAM ユーザー、IAM ロールが含まれます。これを行うには、ポリシーの | 2019 年 11 月 20 日 | |
ロールが最後に使用された日付、時刻、およびリージョンを表示できるようになりました。この情報は、アカウント内の未使用のロールを特定する際にも役立ちます。AWS Management Console、AWS CLI および AWS API を使用して、ロールが最後にいつ使用されたかに関する情報を表示できます。 | 2019 年 11 月 19 日 | |
各グローバル条件キーがリクエストのコンテキストに含まれるタイミングを知ることができるようになりました。また、ページの目次 (TOC) を使用して、各キーにさらに簡単に移動することもできます。ページの情報は、より正確なポリシーを記述するのに役立ちます。例えば、従業員が IAM ロールでフェデレーションを使用する場合、 | 2019 年 10 月 6 日 | |
タグを使用して AWS で属性ベースのアクセスコントロール (ABAC) の動作と、従来の AWS 認可モデルとの比較について説明します。ABAC チュートリアルを使用して、プリンシパルタグを持つ IAM ロールが一致するタグを持つリソースにアクセスすることを許可するポリシーを作成およびテストする方法を学習します。この戦略により、個人は自分のジョブに必要な AWS リソースのみを表示または編集できます。 | 2019 年 10 月 3 日 | |
コード内の AWS アクセスキーを確認して、キーが所有するアカウントのものであるかどうかを判断できます。アクセスキー ID は、 | 2019 年 7 月 24 日 | |
IAM コンソールの AWS Organizations セクションで、AWS Organizations エンティティまたはポリシーのサービスの最終アクセス時間情報を表示できます。また、AWS CLI または AWS API を使用して、データレポートを取得することもできます。このデータには、Organizations アカウントのプリンシパルで許可されているどのサービスがいつ最後にアクセスを試みたかに関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するよう Organizations ポリシーを改善することができます。 | 2019 年 6 月 20 日 | |
ロールを引き受ける際に最大 10 の管理ポリシー ARN を渡すことができるようになりました。これにより、ロールの一時的な認証情報のアクセス許可を制限することができます。 | 2019 年 5 月 7 日 | |
バージョン 1 またはバージョン 2 グローバルエンドポイントのトークンの使用を選択できるようになりました。バージョン 1 トークンは、デフォルトで利用できる AWS リージョンでのみ有効です。これらのトークンは、アジアパシフィック (香港) など、手動で有効になっているリージョンでは動作しません。バージョン 2 のトークンはすべてのリージョンで有効です。ただし、バージョン 2 トークンの方が長く、一時的にトークンを保存するシステムに影響する可能性があります。 | 2019 年 4 月 26 日 | |
管理者がアジアパシフィック (香港) リージョン (ap-east-1) を有効化および無効化できるようにするポリシーを作成できるようになりました。 | 2019 年 4 月 24 日 | |
IAM ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の認証情報を管理できるようになりました。この AWS Management Console ページには、アカウント ID や正規ユーザー ID などのアカウント情報が表示されます。ユーザーは、自分のパスワード、アクセスキー、X.509 証明書、SSH キー、および Git 認証情報を表示および編集することもできます。 | 2019 年 1 月 24 日 | |
AWS CLI および AWS API を使用して、サービスの最終アクセス時間情報を表示できるようになりました。 | 2018 年 12 月 7 日 | |
タグキーと値のペアを使用して、IAM タグを使い、アイデンティティ (IAM ユーザーまたはロール) にカスタム属性を追加できるようになりました。タグを使用して、アイデンティティのリソースへのアクセスや、アイデンティティにアタッチできるタグを制御することもできます。 | 2018 年 11 月 14 日 | |
AWS Management Console にサインインするとき、U2F セキュリティキーを多要素認証 (MFA) オプションとして使用できるようになりました。 | 2018 年 9 月 25 日 | |
米国西部 (オレゴン) リージョンで、VPC と AWS STS の間のプライベート接続を確立できるようになりました。 | 2018 年 7 月 31 日 | |
新機能では、完全な &IAM; 管理アクセスを付与することなく、信頼された従業員に IAM 許可を管理できる権限を付与することがより簡単になりました。 | 2018 年 7 月 12 日 | |
新しい条件キーでは、IAM プリンシパルの AWS 組織を指定することで、AWS リソースへのアクセスをより簡単にコントロールできます。 | 2018 年 5 月 17 日 | |
新しい条件キーでは、より簡単に IAM ポリシーを使用して AWS リージョンへのアクセスをコントロールできます。 | 2018 年 4 月 25 日 | |
IAM ロールのセッションの有効期間は 12 時間になりました。 | 2018 年 3 月 28 日 | |
新しいワークフローでは、信頼関係を作成するプロセスとロールにアクセス許可をアタッチするプロセスが効率化されます。 | 2017 年 9 月 8 日 | |
更新された AWS サインインエクスペリエンスにより、ルートユーザーと IAM ユーザーの両方が、AWS Management Console のホームページから [Sign In to the Console] (コンソールにサインイン) リンクを使用できるようになりました。 | 2017 年 8 月 25 日 | |
ドキュメントの更新に伴って 30 を超えるポリシー例が追加されました。 | 2017 年 8 月 2 日 | |
IAM コンソールの [ユーザー] セクションに追加された情報により、IAM のベストプラクティスを実践しやすくなりました。 | 2017 年 7 月 5 日 | |
リソースレベルのアクセス許可で、Auto Scaling のリソースへのアクセスとアクセス許可をコントロールできます。 | 2017 年 5 月 16 日 | |
データベース管理者は、データベースユーザーと IAM ユーザーおよびロールに関連付けることができます。これにより、すべての AWS リソースへのユーザーアクセスを一元管理できます。 | 2017 年 4 月 24 日 | |
サービスにリンクされたロールでは、より簡単で安全な方法でアクセス許可を AWS のサービスに委任できます。 | 2017 年 4 月 19 日 | |
新しいポリシー概要では、IAM ポリシーのアクセス許可をより簡単に理解できます。 | 2017 年 3 月 23 日 |